Cietā diska šifrēšana¶
`Nitrokey U2F <x id=“14“></x><x id=“66“></x> |
|||||||
---|---|---|---|---|---|---|---|
✓ |
⨯ |
⨯ |
⨯ |
✓ |
✓ |
✓ |
✓ |
VeraCrypt (agrāk TrueCrypt)¶
VeraCrypt ir bezmaksas atvērtā koda diska šifrēšanas programmatūra operētājsistēmām Windows, macOS un GNU+Linux. Tā ir TrueCrypt pēctecis, tāpēc ir ieteicama, lai gan turpmāk minētie norādījumi attiecas arī uz TrueCrypt.
Lai izmantotu programmu ar Nitrokey Storage 2 vai Nitrokey Pro 2, izpildiet šos soļus:
Instalējiet jaunāko versiju OpenSC vai lejupielādējiet PKCS#11 bibliotēku.
Choose the library in VeraCrypt under Settings>Preferences>Security Token (location depends on system, e.g.
/usr/lib/opensc
).Ģenerējiet 64 baitu atslēgas failu, izmantojot rīkus Tools>Keyfile Generator.
Tagad jums vajadzētu būt iespējai importēt ģenerēto atslēgas failu, izmantojot sadaļu Rīki>Pārvaldīt drošības žetonu atslēgu failus. Jums jāizvēlas pirmais slots (
[0] User PIN
). Pēc tam atslēgas fails tiek saglabāts Nitrokey kā „Privāto datu objekts 1“ (</x id="224"></x>
).Pēc tam jums vajadzētu droši noslaucīt oriģinālo atslēgas failu datorā!
Tagad varat izmantot VeraCrypt ar Nitrokey: izveidojiet konteineru, izvēlieties ierīces atslēgas failu kā alternatīvu parolei.
Brīdinājums
Drošības apsvērumi
Lūdzu, ņemiet vērā, ka VeraCrypt neizmanto visu Nitrokey (un viedkaršu kopumā) piedāvāto drošību. Tā vietā Nitrokey atmiņā tiek saglabāts atslēgas fails, kuru teorētiski var nozagt ar datorvīrusu pēc tam, kad lietotājs ir ievadījis PIN kodu.
Piezīme: Aloaha Crypt ir balstīta uz TrueCrypt/VeraCrypt, bet bez aprakstītajiem drošības ierobežojumiem.
Cietā diska šifrēšana GNU+Linux sistēmā ar LUKS/dm-crypt¶
Lai iestatītu LUKS diska šifrēšanu, sekojiet mūsu ceļvedim:
Purism ir izveidojis vienkāršu skriptu, lai pievienotu Nitrokey/LibremKey kā veidu, kā atbloķēt LUKS nodalījumus (vēl nav pārbaudīts ar Nitrokey).
Šī projekta mērķis ir atvieglot LUKS lietošanu ar Nitrokey Pro vai uz Password Safe balstītu krātuvi (Nitrokey vēl nav testēts). Apraksts, kā to izmantot Gentoo operētājsistēmā, ir atrodams šeit.
Arch Linux gadījumā skatiet initramfs-scencrypt.
GNU+Linux krātuves šifrēšana ar EncFS¶
Padoms
Priekšnosacījums
Lūdzu, pārliecinieties, ka esat instalējis ierīces draiveri, mainījis noklusējuma PIN kodus un ģenerējis vai importējis atslēgas ar GnuPG.
EncFS ir viegli lietojama šifrētu failu sistēmu lietotne, un tās pamatā ir FUSE. Lai to izmantotu ar ļoti garām parolēm un Nitrokey Pro 2, varat izpildīt šos soļus:
Inicializācija¶
Izveidojiet atslēgas failu ar izlases datiem:
$ dd bs=64 count=1 if=/dev/urandom of=keyfile
Šifrējiet atslēgas failu un izmantojiet Nitrokey lietotāja ID.
$ gpg --encrypt keyfile
Atslēgas faila noņemšana skaidrā tekstā:
$ rm keyfile # you may want to use 'wipe' or 'shred' to securely delete the keyfile
Izveidot montāžas punktu:
$ mkdir ~/.cryptdir ~/cryptdir
Faktiskās šifrēšanas mapes izveide
$ gpg -d keyfile.gpg | encfs -S ~/.cryptdir ~/cryptdir # There may appears an error message about missing permission of fusermount # This message can be ignored
Atvienojiet jauno failu sistēmu:
$ fusermount -u ~/cryptdir
Lietošana¶
Pievienojiet šifrēto failu sistēmu un ievadiet Nitrokey PIN kodu:
$ gpg -d keyfile.gpg | encfs -S ~/.cryptdir ~/cryptdir
Pēc lietošanas atvienojiet failu sistēmu:
$ fusermount -u ~/cryptdir
GNU+Linux krātuves šifrēšana ar ECryptFS¶
eCryptfs ir uz failiem balstīta caurspīdīga šifrēšanas failu sistēma GNU+Linux, ko var izmantot ar Nitrokey, izmantojot PKCS#11 draiveri.
Skatiet šīs instrukcijas:
Sertifikāta un atslēgas importēšana uz Nitrokey
# Warning: This will delete existing keys on your Nitrokey! $ pkcs15-init --delete-objects privkey,pubkey --id 3 --store-private-key user@example.com.p12 --format pkcs12 --auth-id 3 --verify-pin
Izveidojiet failu ~/.ecryptfsrc.pkcs11:
$ editor ~/.ecryptfsrc.pkcs11
Ievadiet šo saturu:
$ pkcs11-log-level=5 pkcs11-provider1,name=name,library=/usr/lib/opensc-pkcs11.so,cert-private=true $ openvpn --show-pkcs11-ids path to opensc-pkcs11 module Certificate DN: /description=Iv4IQpLO02Mnix9i/CN=user@example.com/emailAddress=user@example.com Serial: 066E04 Serialized id: ZeitControl/PKCS\x2315\x20emulated/000500000c7f/OpenPGP\x20card\x20\x28User\x20PIN\x29/03
Serializētā id kopēšana vēlākai lietošanai:
$ ecryptfs-manager # This will show list option. Choose option "Add public key to keyring" # Choose pkcs11-helper # Enter the serialized ID of step 3 to PKCS#11 ID.
Kā alternatīvu varat izmēģināt ESOSI vai izpildiet šos soļus, izmantojot OpenSC un OpenVPN.
Rokasgrāmatas avots: https://www.nitrokey.com/documentation/applications#a:hard-disk-encryption